NEWS

Marketing & Privacy: il legittimo interesse come base giuridica della pubblicità comportamentale

Per essere lecita la pubblicità deve essere trasparente, veritiera, non ingannevole o suscettibile di forzare la scelta del consumatore. Ciò perché l’ordinamento tollera una pubblicità che sia persuasiva ma non anche manipolativa della volontà della persona che deve rimanere libera di effettuare le sue scelte.

(Nella foto: Guido d'Ippolito, funzionario del Garante per la protezione dei dati personali. Ha scritto il libro "Profilazione e pubblicità targettizzata online")


Proprio l’effettività della scelta è il valore che può essere leso da scorrette forme di pubblicità personalizzata. Infatti, il ricorso a un’intensa profilazione espone l’interessato a un più ampio rischio di manipolazione.

Con riferimento alla pubblicità comportamentale, il principale (ma non unico) tema di discussione è quello della base giuridica o fondamento di liceità. Ciò soprattutto dopo l’importante pronuncia dell’autorità irlandese che ha sanzionato Meta con 390 milioni di euro per aver basato la pubblicità comportamentale sul contratto.

Qual è, dunque, alla luce di tale pronuncia, la base giuridica più idonea tra quelle residue? La sfida è in particolare tra il consenso e il legittimo interesse.

La scelta più immediata e sicura sembrerebbe essere il consenso.

Già il WP29 sconsigliava il ricorso al legittimo interesse quando il trattamento risulti oscuro, complesso, implichi un monitoraggio costante dell’interessato, sia lontano dalle sue aspettative e con effetti particolarmente impattanti sui suoi diritti o suscettibile di influenzarne le decisioni. Sicché sia il WP29 che, successivamente, l’EDPB hanno individuato nel consenso l’idonea base giuridica per la pubblicità personalizzata, specie comportamentale.

A ciò si può aggiungere che l’intenzione di TikTok di basare la pubblicità personalizzata sul legittimo interesse ha immediatamente incontrato l’opposizione del Garante che, il 7 luglio 2022, ha avvertito che tale scelta può violare il GDPR.

Rimane quindi spazio per il legittimo interesse? Forse si, ancorché si tratti di una strada dalla percorrenza più ostica.

Innanzitutto, per utilizzare il legittimo interesse bisogna essere in grado di dimostrare che il proprio interesse a quel trattamento sia lecito, necessario e, soprattutto, prevalente sull’interesse dell’utente. Tra queste, l’ultima condizione, il balancing test, non è di agevole soddisfacimento laddove non è in astratto semplice dimostrare che un interesse economico, per quanto lecito, possa prevalere su un diritto fondamentale.

Bisognerà così trovare altri modi per riequilibrare gli interessi in gioco: adottare misure di sicurezza per l’interessato e, soprattutto, recuperare il gap che deriva dal non aver chiesto il consenso all’utente e riconoscergli un’idonea capacità di scelta.

Punto di partenza è investire in informazione e trasparenza. L’interessato deve aver chiaro che i dati sono trattati per finalità commerciali e sulla base di profilazione, avere indicazioni sulla logica del trattamento e chiarimenti puntuali sul perché vede certi annunci e non altri.

Sarà importante che il titolare rispetti principi come la minimizzazione dei dati, preveda tempi di cancellazione brevi e consenta all’interessato di cancellare realmente le proprie informazioni o possa incidere sui criteri di profilazione.

Soprattutto, sarà necessario valorizzare e rafforzare, in ottica proattiva, il diritto di opposizione.

Per rispetttare il GDPR nelle attività di marketing il titolare del trattamento deve avere una valida base giuridica

L’interessato deve mantenere il controllo sul trattamento dei propri dati e, con riferimento alla pubblicità personalizzata online, questo potere di controllo si sostanzia nel rispetto del suo diritto ad effettuare una scelta. Inoltre, poiché anche la profilazione è un trattamento che richiedere un intervento chiaro dell’interessato, lo stesso deve avere la possibilità di scegliere se essere profilato oppure ricevere pubblicità generalista o poco personalizzata. La pubblicità personalizzata, infatti, può anche essere utile o nell’interesse della persona ma questa è una valutazione che non gli deve essere imposta; deve essere l’interessato ad esprimersi.

Rafforzare il diritto di opposizione vuol dire, quindi, ristabilire il diritto degli interessati di scegliere. Ma per far ciò non ci si potrà limitare a darne conto genericamente nell’informativa, magari confidando che l’asimmetria informativa o la pigrizia dell’interessato garantiscano un mancato esercizio del diritto. Bisognerà attivarsi per assicurare funzionalità al diritto e semplicità di utilizzo: evidenziarlo tramite strumenti di legal design, agevolarlo tramite dashboard facilmente accessibili o caselle di controllo a portata di click o tap e, soprattutto, l’opposizione dovrebbe essere ricordata all’utente ad intervalli regolati. Ogni tot mesi il servizio dovrebbe ricordare all’utente qual è lo stato delle autorizzazioni sulla pubblicità e se voglia rivedere le sue scelte.

Questa è, probabilmente, la chance più grande non solo per far apparire lecito, agli occhi delle autorità di controllo, il ricorso al legittimo interesse ma soprattutto per compensare i rischi per l’interessato e riconoscergli un adeguato controllo.

Diversamente, in mancanza di almeno un rafforzamento dell’opposizione, oltre che di adeguata informazione, potrebbe risultare difficile fondare la pubblicità personalizzata sul legittimo interesse.

In conclusione, una strada per il legittimo interesse è in astratto praticabile ma percorribile solo da chi è disposto ad effettuare un’applicazione “virtuosa” del GDPR. Ossia un’applicazione che valorizzi il ruolo dell’interessato, senza temere la sua facoltà di influire sul trattamento.

Nel video: lo speech di Guido d'Ippolito al Privacy Day Forum 2023. Sotto le slides dell'intervento)

Note Autore

Guido D'Ippolito Guido D'Ippolito

Funzionario direttivo Garante per la protezione dei dati personali.

Prev La classificazione degli incidenti sulla sicurezza delle informazioni per intervenire in modo proattivo in caso di data breach
Next Videosorveglianza nei luoghi di lavoro: l’accordo sindacale o l’autorizzazione dell'ispettorato sono imprescindibili condizioni di legittimità del trattamento

Privacy Day Forum 2023: il trailer della giornata

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy